2003 年 3 月 01 日

“過去的窮人口袋里沒錢，現在富人口袋里沒錢，今后大家口袋里都沒有錢，因為 各種各樣的電子現金和電子支付手段將引起貨幣形式的又一場革命” 。本文對目前電子現金系統的研究進行了較為全面的闡述，給出了電子現金系統的基本概念、分類及所使用的密碼學關鍵技術，目前所使用方案的優劣，并給出一個 實用的公平電子現金方案及其安全性分析。最后指出電子現金系統未來發展方向。

?

電子現金系統概述

電子商務是通過 Internet網所進行的商務活動，對于電子商務一個非常關鍵的要求就是要有一個安全高效的電子現金系統。自 19 8 2年D. Chaum[2]發表第一篇關于電子現金系統的論文以來，在電子現金系統的研究方面已取得了很多研究成果。

電子現金系統基本概念

電 子現金( E-cash )又稱為電子貨幣 ( E-money )或數字貨幣( digital cash )，是一種非常重要的電子支付系統，它可以被看作是現實貨幣的電子或數字模擬，電子現金以數字信息形式存在，通過互聯網流通。但比現實貨幣更加方便、經 濟。它最簡單的形式包括三個主體：商家，用戶，銀行；和四個安全協議過程：初始化協議，提款協議，支付協議，存款協議。第一個電子現金方案是由 Chaum[2]在1982年提出，他利用盲簽名技術來實現，可以完全保護用戶的隱私權。但這種完全匿名的電子現金也為許多不法分子提供了方便，他們利用 電子現金的完全匿名性進行一些違法犯罪活動，例如貪污、非法購買(如購買毒 品、軍 火等 )、敲詐勒索等。警方即便拿到贓款，也不能抓出犯罪分子?；谶@個原因，合理的電子現金系統應該是不完全或條件匿名的。1995年，Stadler等人 [3]提出了公平盲簽名 ( fair blind signature)的概念，可以用于條件匿名的支付系統。1996年，Camenisch等人[4]和 Frankel等人[5]分別獨立地首次提出了公平的離線電子現金( fair off-line electronic cash )的概念，同時給出了兩個方案。公平電子現金中的用戶的匿名性是不完全的，它可以被一個可信賴的第三方 ( TTP)撤消，從而可以防止利用電子現金的完全匿名性進行的犯罪活動。

電子現金在其生命周期中要經過提取、支付和存款 3個過程，涉及用戶、商家和銀行等 3方。電子現金的基本流通模式如圖 1所示。用戶與銀行執行提取協議從銀行提取電子現金；用戶與商家執行支付協議支付電子現金；商家與銀行執行存款協議 ,將交易所得的電子現金存入銀行。典型的電子現金支付模型如下:

電子現金的分類

?

• 電子現金系統根據其交易的載體可分為基于賬戶的電子現金系統和基于代金券的電子現金系統;
• 根據電子現金在花費時商家是否需要與銀行進行聯機驗證分為聯機電子現金系統和脫機電子現金系統;
• 根據一個電子現金是否可以合法的支付多次將電子現金分為可分電子現金和不可分電子現金。

電子現金應具有的基本特性

電子現金在經濟領域起著與普通現金同樣的作用，對正常的經濟運行至關重要。電子現金應具備以下性質 :

1. 獨立性: 電子現金的安全性不能只靠物理上的安全來保證，必須通過電子現金自身使用的各項密碼技術來保證電子現金的安全;
2. 不可重復花費: 電子現金只能使用一次，重復花費能被容易地檢查出來；
3. 匿名性：銀行和商家相互勾結也不能跟蹤電子現金的使用，就是無法將電子現金的用戶的購買行為聯系到一起，從而隱蔽電子現金用戶的購買歷史；
4. 不可偽造性：用戶不能造假幣，包括兩種情況：一是用戶不能憑空制造有效的電子現金；二是用戶從銀行提取N個有效的電子現金后，也不能根據提取和支付這N個電子現金的信息制造出有效的電子現金；
5. 可傳遞性：用戶能將電子現金像普通現金一樣，在用戶之間任意轉讓，且不能被跟蹤；
6. 可分性：電子現金不僅能作為整體使用，還應能被分為更小的部分多次使用，只要各部分的面額之和與原電子現金面額相等，就可以進行任意金額的支付；

電子現金系統中使用的密碼技術

電子現金的安全性和可靠性等主要是依靠密碼技術來實現的，主要有：

1. 分 割選擇技術: 用戶在提取電子現金時，不能讓銀行知道電子現金中用戶的身份信息，但銀行需要知道提取的電子現金是正確構造的。分割選擇技術是用戶正確構造Ｎ個電子現金傳 給銀行，銀行隨機抽取其中的Ｎ-1個讓用戶給出它們的構造，如果構造是正確的，銀行就認為另一個的構造也是正確的，并對它進行簽名。
2. 零知識證明：證明者向驗證者證明并使其相信自己知道或擁有某一消息，但證明過程不能向驗證者泄漏任何關于被證明消息的信息。以上兩種技術用于將用戶的身份信息嵌入到電子現金中。
3. 認證：認證一方面是鑒別通信中信息發送者是真實的而不是假冒的；另一方面是驗證被傳送信息是正確和完整的，沒有被篡改、重放或延遲。
4. 盲數字簽名: 簽名申請者將待簽名的消息經"盲變換"后發送給簽名者, 簽名者并不知道所簽發消息的具體內容, 該技術用于實現用戶的匿名性。

?

回頁首

?

電子現金系統方案

電子現金設計的基本流程如下：

?

1. 取款協議（Withdrawal Protocol）：用戶從自己的銀行帳戶上提取電子現金。為了保證用戶匿名的前提下獲得帶有銀行簽名的合法電子現金，用戶將與銀行交互執行盲簽名協議，同時銀行必須確信電子現金上包含必要的用戶身份。一般取款協議分為如下兩步子協議：
   • 開戶協議。這一步通常計算量較大，用于向用戶提供包含其身份信息的電子執照。
   • 取款協議。這一步只是單純的盲簽名過程，用戶能夠從其帳戶中提取電子現金。
2. 支付協議（Payment Protocal）：用戶使用電子現金從商店中購買貨物。通常也分為兩個子協議：
   • 驗證電子現金的簽名，用于確認電子現金是否合法。
   • 知識泄露協議。買方將向賣方泄露部分有關自己的身份的信息，用于防止買方濫用電子現金。
3. 存款協議（Deposit Protocal）：用戶及商家將電子現金存入到自己的銀行賬戶上。在這一步中銀行將檢查存入的電子現金是否被合法使用，如果發現有非法使用的情況發生，銀行將使用重用檢測協議跟蹤非法用戶的身份，對其進行懲罰。

離線電子現金具體方案：

一、初始化協議（只執行一次）
銀行B基于離散對數問題選擇參數：選擇兩個大素數p、q 且q |(p-1)。定義乘法群ＺP上的階為素數ｑ的子群Gq以及Gq的一個生成元組(g，g ₁ ，g ₂ )，銀行B的簽名私鑰ｘ∈Ｚq ，無碰撞單向散列函數Ｈ0、Ｈ1，銀行B公開其公鑰y =g ^x ，以及p、q、g、g ₁ 、g ₂ 、Ｈ0、

Ｈ1(為了簡單起見，只考慮單一面額和單一有效期，不同簽名私鑰對應電子現金的不同面額。)

用戶U設置(開戶協議)：選?。?∈RＺq，計算Ｉ _U =（g ₁ ） ^u1 作為用戶的銀行賬號，并將知識證明的簽名ＳＰＫ{a|Ｉ _U =g ₁ ^a }(ｍ)傳給銀行，這里ｍ表示用戶的身份識別信息，銀行驗證此知識證明的簽名，若驗證成功，存儲Ｉ _U 與用戶的身份識別信息。

二、取款協議（銀行和用戶之間的認證及盲簽名協議）

1. 用戶→銀行：用戶先通過身份識別協議(如schnorr協議)，向銀行證明自己是其賬號的持有者，然后將取款需求(電子現金的面值，數量等)傳送給銀行；
2. 銀行→用戶：銀行先驗證用戶提交的身份識別信息，然后選?。鳌蔙Ｚq，計算a ₀ =ｇw，ｂ0=(Ｉ _U ｇ ₂ )w，ｚ0 = (Ｉ _U ｇ ₂ )x ，傳送a ₀ ，ｂ0 ，ｚ0給用戶。
3. 用戶→銀行：選?。? ₁ , ｘ ₂ ,ｓ,ｕ,ｖ∈RＺq ，計算Ｂ=ｇ ₁ ^x1 ｇ ₂ ^x2 ，Ａ=(Ｉ _U ｇ ₂ ) s ，ｚ= (ｚ0) s , ａ= (a ₀ )uｇv , ｂ=(ｂ0)suＡv ,ｃ=Ｈ0(Ａ‖Ｂ‖ｚ‖ａ‖ｂ) ,ｃ ₀ =ｃ/ｕmod ｑ, 傳送ｃ ₀ 給銀行。
4. 銀行→用戶：計算r ₀ = ｗ+ｃ ₀ ｘ mod ｑ, 傳送r ₀ 給用戶，同時借記用戶的賬號。
5. 用戶：檢查ｇr 0 yc0a ₀ 和 (Ｉ _U ｇ ₂ )r0 (ｚ0)c0ｂ0 , 若驗證通過, 則計算ｒ=ｖ+r ₀ ｕ1 mod ｑ 。取款協議實際上是一個盲簽名協議，一個簽名Sign(Ａ, Ｂ)=(ｚ,ａ,ｂ,ｒ)有效，當且僅當ｇr = yＨ0 ^{(Ａ‖Ｂ‖ｚ‖ａ‖ｂ)} ａ和Ａ ^r =ｚＨ0 ^{(Ａ‖Ｂ‖ｚ‖ａ‖ｂ)} ｂ成立。用戶得到的電子現金為Coin = {Ａ，Ｂ，Sign(Ａ，Ｂ)}

三、支付協議(在匿名信道上的用戶U和商家S的協議)

1. 用戶→商家：用戶將電子現金Coin發送給商家。
2. 商家→用戶：驗證電子現金Coin上銀行的簽名，若驗證通過，則計算質詢串ｄ=Ｈ1(Ａ‖Ｂ‖Ｉs)，然后將質詢串ｄ傳送給用戶U。其中Ｉs表示商家在銀行的賬戶。
3. 用戶→商家：用戶計算出應答ｒ1 =ｄ(ｕ1ｓ) +ｘ ₁ mod ｑ,ｒ2=ｄｓ+ｘ ₂ modｑ，將(ｒ1,ｒ2)發送給商家。
4. 商家：檢驗ｇ ₁ ^r1 ｇ ₂ ^r2 ＡｄＢ，若檢驗通過，則接受用戶的支付，否則拒絕。

四、存款協議
商家傳送支付協議的一個副本給銀行， (如商家一樣地)檢驗電子現金上銀行的盲簽名Sign(Ａ,Ｂ) = (ｚ,ａ,ｂ,ｒ)是否有效，若檢驗通過，銀行在此數據庫中存儲(Ａ,ｒ ₁ ,ｒ ₂ ,Ｉ _s ),并且在商家的賬戶中存入電子現金相應的金額。

方案的安全性分析

該電子現金系統方案的安全性是建立在計算離散對數問題困難性的基礎上的。

無法偽造合法的電子現金
不法用戶即使以合法用戶的身份在銀行提?。雮€合法的電子現金，他仍然不能根據已經得到的信息偽造出第ｋ+1個合法的電子現金，因為他無法得到銀行的秘密私鑰x

合法用戶的匿名性得到保證

在 電子現金中嵌入有用戶的識別信息(即賬號ＩU)，商家和銀行在支付協議和存款協議中，獲得的數據有Ａ，Ｂ，Sign(Ａ,Ｂ)，ｒ1，ｒ2，其中Ｂ,ｒ2 不含用戶的識別信息ＩU，而Ａ,ｒ1，Sign(Ａ,Ｂ)都是ＩU盲化后的結果，商家和銀行若想從接收到的數據中得到用戶的識別信息(即ＩU)，必須知道 盲因子ｓ，而ｓ是用戶隨機選取并保密的，這就保證了電子現金的匿名性。

商家無法偽造有效的支付信息

在支付協議中，盡管商家知道Ａ，Ｂ，Sign(Ａ,Ｂ)，他可以計算ｄ,但由于他不知道用戶的秘密鑰ｕ1、ｓ，因而他自己不能隨意構造ｒ'1，ｒ'2，使得滿足ｇr'1ｇr'2 ＡｄＢ，所以在沒有合法用戶的參與下，商家無法偽造有效的支付信息。

?

回頁首

?

電子現金系統的未來發展方向

電子現金的傳遞性的可用性研究

傳 遞性是物理現金一個基本的特征，但在電子現金中還沒有應用，最主要的原因是：電子現金中為了能跟蹤重復花費的用戶，在電子現金中加入了盲化的用戶身份信 息，在電子現金流動的過程中將加入使用過該電子現金的所有用戶身份信息，因此根據信息論的理論，電子現金的長度是不斷地增長的，每次交易都將造成大通信量 問題，無法有利于實際應用；另外電子現金無論是在構造還是存款過程中，相對于物理現金都是相當容易而有效的。因此目前公平的離線電子現金的研究并不關注電 子現金的傳遞性。

多銀行電子現金的研究

現 有的公平電子現金方案都是由一個銀行發行的，但在現實生活中由多個電子銀行系統發行的電子現金較之單個銀行發行的電子現金是更適合的，因為在一個國家或地 區具有電子現金發行能力的銀行可能不止一家。這多個銀行形成一個群體，它們受國家的中央銀行管理，每個銀行都可以發行電子現金。所以由多個銀行發行的公平 電子現金模型是電子現金系統研究的重要方向，在這方面的研究主要是利用改進的群簽名方案和群盲簽名方案設計的多銀行公平電子現金方案。但現在存在兩個公開 問題：第一是設計一個實用的多銀行公平電子現金方案當然不一定是只是利用群簽名技術，利用其它的技術可能更好地解決；第二是設計一個可廢除群成員的群簽名 方案，這也是群簽名研究中的一個公開問題。

可分電子現金系統的研究

可 分電子現金系統能夠讓用戶進行多次合法的精確支付，減少提款次數，從而可以降低網絡通信量，提高系統效率，因此可分的電子現金系統是研究的重點。 Okamoto和Ohta于1991年首次提出了一個可分電子現金系統，該系統允許用戶將電子現金分成任意金額進行多次支付，直到與該電子現金的總額相等 為止。為使銀行能夠有效地檢測用戶的重復支付，他們采用了二叉樹技術對電子現金進行表示，但這種技術導致電子現金的支付協議通信量大、計算復雜度高、效率 低，盡管許多學者對該方案從不同的角度提出了改進[6～10]，但都由于使用二叉樹表示使得支付協議的執行效率仍然很低。因此，到目前為止，可分電子現金 系統依然是不實用的。關于這方面研究，還可以引入可信第三方來實現對超額支付者的識別，使電子現金的支付協議中沒必要包含進行重復支付檢查的信息，這樣就 可以放棄可分電子現金的二叉樹表示技術，從而構造更簡單的可分電子現金系統。

?

參考資料

• 楊義先編著. 信息安全新技術. 北京：北京郵電大學出版社.2002
  
  
• Chaum D. Blind Signatures for Untraceable Payments [A]. Advances in Cryptology, ProcofCrypto 82[C]. SantaBarbara, California: Springer Verlag, 1983.199～203 .
  
  
• Sadler M, Piveteau JM, Camenisch J. Fairblindsignatures. In: Lecture Notesin Computer Science, 921. Berlin:Springer-Verlag, 1995.209-219
  
  
• Camenisch J, Maurer U, Stadler M. Digital payment systems with passive anonymity-revoking trustee.In:Bertino Eetal. eds. Lecture Notesin Computer Science, 1146. Berlin: Springer-Verlag, 1996.33-43
  
  
• Frankel Y, TsiounisY, YungM. Indirect discourse proofs: Achieving fair off-line e-cash. In: ProcAsiacrypt'96, Ky-ongju, Korea, 1996. 286-300
  
  
• Chan A, Frankel Y, Tsiounish Y. Easy Come Easy Go Divisible Cash[A]. Advances in Cryptology Proceedings of Eurocrypt 98[C]. Espoo, Finland: Springer Verlag, 1998.561-575.
  
  
• Chen Kai, Zhang Yuqing, XiaoGuozhen, etal. A Practical Efficient Anonymous Divisible E-Cash System[A]. International Workshop.
  
  
• Tsiounis Y. Efficient electronic cash: New notions and techniques [PhD dissertation]. Boston: College of Computer Science, Northeastern University, 1997. Available at http://www.ccs.neu.edu/home/yiannis/pubs.html
  

?

關于作者

		戴元軍，男，28歲，北京郵電大學信息安全中心博士生，參加國家自然科學基金項目、國家973項目、國家863項目，并已發表多篇學術文章。主要研究方向：網絡安全與信息安全，密碼學，電子支付，數字水印。Email: dai_yuanjun@163.com 。

電子現金系統的研究與發展